@A社の場合
法律の施行にあわせて、世間で話題になっているセキュリティ対策を実施することにしている。たとえば不正アクセス禁止法のときは、外部からのアクセスをコントロールできるようにFirewallを導入したし、個人情報保護法が施行された年は、社員の情報の持ち出しを制限するようにシンクライアントを従業員に配布した。A社としてのセキュリティポリシーは明確になっておらず、都度、経営陣や情報システム部長の判断で、セキュリティ対策の予算配分を決めている。
AB社の場合
セキュリティポリシーが策定されており、社長の名で宣言され社内に周知されている。一方で社内の情報資産を洗い出してリスクアセスメントを実施し、この結果とB社の外部要因、内部要因とを鑑みて、重要度の高い部分からセキュリティ対策を実行していくことにしている。昨年はクライアント端末のデータを暗合するとともにパーソナルファイやウォールの機能を強化した。またOSのパッチを自動的に適用できるようにSUS(Software Update Services)を構築した。
A社、B社ともに結果的に昨年行ったのは、情報漏洩に関連した対策であり、その善し悪しは一概に言えるものではないが、大きな違いがある。A社は、必要なセキュリティ対策の全体像が、わかっている。今後あらたな分野のセキュリティ対策がうまれたとしても、セキュリティポリシーが一定の指針になるとともに、リスクアセスメントを実施してあらたな対策の枠組みをつくっていける、マネジメントの仕組みができていると言うことが大きな違いだ。
世間的に大きく騒がれるが、半年もせずに雑誌や情報誌の紙面から消え去ってしまうような話題もある。このような情報に左右されてしまっては企業のセキュリティ対策は、ただの金食い虫になりかねない。
「今度はこれ、次はあれ、今は早急にその対策が必要です。。。」
少なくても製品やソリューションを売り込む側は、一般企業を
”7592億円のセキュリティ市場”(数字は富士キメラ総研より)
と捉えていることに間違いはない。
ここでは、セキュリティポリシーを策定・構築することの重要性を言っているのではなく(もちろんそれ自体は大変重要なこことであるのだが)、効率的かつ有用なセキュリティ対策を実施することが重要だと言っておきたい。効率的かつ有用とは、言い換えるならば、投資効果の高く、かつセキュリティポリシーを含めた企業の情報戦略との目的適合性が高い対策であり、企業の抱える問題にクリティカルに対応できることである。
そんな中、やはりユーザ企業が求めるソリューションは
”全部入り”
”オールインワン”
のセキュリティソリューションだ。
ユーザにとって、セキュリティ機器の運用は業務上の負荷でしかない。1台で基本的な対策を網羅できるという、手軽さが受けて、中小企業を中心に導入が進んでいるようだ。調査会社のIDC Japanでは
2010年には、出荷台数ベースで22万8000台に達すると予測している。
運用の担当者からしてみたメリットだけでなく、1企業からしてみれば、そのメリットは更に大きいといえるだろう。必要なセキュリティ対策の広い範囲を網羅し、かつ個別に対応していく場合よりもコストは低くなることがほとんどである。
会社へセキュリティ対策を提案する企画担当者にとっては予算獲得の労力が一回で済み、悩みの種が一つ減るだろう。顧客企業へ提案する営業担当者には、より深く遠くまで顧客のセキュリティを意識した提案ができるようになるともいえる。
私自身、個別個別のセキュリティソリューションを提案していたときには、顧客担当者から
「次はこんなセキュリティ対策か…」
とため息とともに肩を落とされた経験がある。
最適なソリューションで顧客の問題を解決しなければならない立場の者が、セキュリティ対策の全体像を意識してもらいながらも、次々とセキュリティ対策の必要性を訴えて、顧客を悩ませてしまっていたのは正直ちょっと反省すべきところである。
UTMに期待だ。
次回はUTMについて掘り深めて書こうと思う。
【ITの最新記事】
| 
